Sve o Rootkit-u

Pro­blem ko­ji ha­ke­ri ima­ju pri na­pa­du na In­ter­net
ser­ve­re je u to­me što za so­bom osta­vlja­ju pu­no tra­go­va. Da bi
spre­či­li da ih lo­kal­ni ad­mi­ni­stra­to­ri pri­me­te ko­ri­ste
spe­ci­jal­ne pa­ke­te ko­ji se na­zi­va­ju Ro­ot­kit. Po­sto­ja­nje
Ro­ot­ki­ta je ge­ne­ral­no ve­li­ki pro­blem za mre­že, jer
omo­gu­ća­va ulje­zi­ma pot­pu­nu kon­tro­lu, sko­ro bez ika­kvih
tra­go­va. Zbog to­ga je ovo­ga pu­ta na­ša te­ma: ka­ko uoči­ti i ka­ko
ot­klo­ni­ti dej­stvo Ro­ot­ki­ta...

Po­sto­ji vi­še na­či­na na ko­ji ha­ke­ri upa­da­ju u
ra­ču­nar­ske si­ste­me; to mo­že bi­ti ili po­ga­đa­nje ši­fa­ra ili
ko­ri­šće­nje ne­kog od Ex­plo­i­ta, sla­bo­sti ope­ra­tiv­nog si­ste­ma
ko­ji se na­pa­da. Svi ovi po­stup­ci osta­vlja­ju tra­go­ve u do­bro
kon­fi­gu­ri­sa­nom si­ste­mu, te ako i upad uspe, ve­li­ka je
ve­ro­vat­no­ća da će ih ad­mi­ni­stra­tor pri­me­ti­ti. Ja­vlja­ju se
čud­ni Log za­pi­si, sum­nji­vi pro­ce­si i mre­žne ko­nek­ci­je ko­je
ne­ma­ju ve­ze sa stan­dard­nim ra­dom si­ste­ma. Ta­da na sce­ni stu­pa
Ro­ot­kit, sa za­dat­kom da uklo­ni ove tra­go­ve, ali i omo­gu­ći
na­pa­da­ču bez­be­dan po­vra­tak u kom­pro­mi­to­va­ni si­stem.

Ro­ot­kit
se ti­pič­no sa­sto­ji od net­work snif­fe­ra (pri­slu­ški­va­ča),
ala­ta za či­šće­nje Log za­pi­sa, za­me­na­ma za si­stem­ske pro­gra­me
kao što su ps, net­stat, if­con­fig i kil­lall. U pa­ke­tu su i
tro­ja­ni­zo­va­ne ver­zi­je Lo­gin de­mo­na, či­me na­pa­dač osta­je
ne­pri­me­ćen, ali i pri­ma in­for­ma­ci­je o dru­gim ko­ri­snič­kim
na­lo­zi­ma.

Opa­snost od Ro­ot­ki­ta
Ukrat­ko re­če­no, iako na­pa­dač pr­vo tre­ba da pro­va­li u
si­stem, jed­no­stav­nost in­sta­la­ci­je Ro­ot­ki­ta i ha­os ko­ji
po­sle to­ga na­sta­je je ve­li­ka opa­snost za mre­že i si­stem
ad­mi­ni­stra­to­re.

Do­dat­ni pro­ble­mi pro­is­ti­ču iz
jed­no­stav­no­sti in­sta­la­ci­je (zbog to­ga što Ro­ot­kit mo­gu da
ko­ri­ste i de­ca) i či­nje­ni­ce da Ro­ot­ki­to­va ima za sve
ope­ra­tiv­ne si­ste­me.

Po pi­ta­nju pod­ri­va­nje
in­te­gri­te­ta si­ste­ma po­sto­je dva na­či­na: sta­ri­ji i ma­nje
opa­sni Ro­ot­ki­to­vi ti­pič­no me­nja­ju si­ste­me za de­tek­ci­ju
upa­da i dru­ge si­gur­no­sne pro­gra­me, dok mo­der­ni­ji i opa­sni­ji
di­rekt­no ma­ni­pu­li­šu ker­nel za­me­nom si­stem­skih po­zi­va kao
što su open() i read().

T0rn­kit
Pri­mer sta­ri­jeg i ma­nje opa­snog Ro­ot­ki­ta je t0rn­kit, ko­ji
se ko­ri­sti na Unix i Li­nux si­ste­mi­ma. T0rn­kit pri­li­kom
in­sta­la­ci­je pr­vo ga­si si­stem­ski Log de­mon, syslogd. Za­tim
me­nja vi­še si­stem­skih pro­gra­ma tro­ja­ni­zo­va­nim ver­zi­ja­ma,
da bi do­dao tro­ja­ni­zo­va­ni SSH de­mon. Pro­gra­mi ko­ji su
za­me­nje­ni su: du (za­u­ze­će di­ska), find (pro­na­la­že­nje
da­to­te­ka), if­con­fig (kon­fi­gu­ra­ci­ja mre­žne kar­te), lo­gin
(pri­ja­va na si­stem), ls (li­sta da­to­te­ka), net­stat (sta­tus
mre­žnih pro­ce­sa), ps (sta­tus pro­ce­sa) i top (li­sta pro­ce­sa).

Ovo
zna­či da i pri de­talj­nom pre­gle­du si­ste­ma ad­mi­ni­stra­tor
ni­je u sta­nju da uoči pro­blem, jer ko­man­de ko­je stan­dard­no
ko­ri­sti vra­ća­ju fal­si­fi­ko­va­ne re­zul­ta­te, ta­ko da sve
iz­gle­da uobi­ča­je­no.

T0rn­kit po­kre­će “snif­fer” u
po­za­di­ni, uklju­ču­je Tel­net, Rsh i Fin­ger de­mo­ne iz inetd
ser­vi­sa i po­kre­će syslogd. Sve ovo se de­ša­va bez zna­nja
ad­mi­ni­stra­to­ra.

T0rn­kit po­sle in­sta­la­ci­je ni­je
mo­gu­će pro­na­ći, jer je sa­ma ko­man­da za li­sta­nje
di­rek­to­ri­ju­ma iz­me­nje­na (ls). U stan­dard­nom slu­ča­ju
for­mi­ra se Bac­kdo­ok na por­tu tcp/47017, za “ro­ot” (Su­per
ad­mi­ni­stra­tor) pri­stup si­ste­mu.

Ado­re
Dru­gi če­sto ko­ri­šće­ni, na­pred­ni­ji Ro­ot­kit je Ado­re,
ko­ji je do­sta te­že ot­kri­ti. To je zbog to­ga što se Ado­re
in­te­gri­še u si­stem uči­ta­va­njem spe­ci­jal­no na­pi­sa­nog ker­nel
mo­du­la (Lo­a­da­ble Ker­nel Mo­du­le ili kra­će: LKM). Pri­me­nom ove
teh­ni­ke na­pa­dač sti­če mo­guć­nost da pro­me­ni rad si­stem­skih
pro­gra­ma bez sa­me iz­me­ne pro­gra­ma (što je lak­še mo­gu­će
ot­kri­ti). Kao pri­mer mo­že da po­slu­ži pro­gram ps
ko­ji ko­ri­sti si­stem­ski po­ziv open() da bi pri­ka­zao
in­for­ma­ci­je o ak­tiv­nim pro­gra­mi­ma, či­ta­ju­ći di­rek­to­ri­jum
/proc u ko­me se ču­va­ju po­da­ci o ak­tiv­nim pro­ce­si­ma.

Do­bi­ja
se efe­kat jed­nak iz­me­ni si­stem­skih da­to­te­ka, pro­ce­sa i
mre­žnih ko­nek­ci­ja. Ado­re na ker­nel ni­vou kon­tro­li­še
si­stem­ske upi­te ta­ko da ne do­zvo­lja­va od­ziv po pi­ta­nju
“taj­ni” na­pa­da­ča.

Ado­re i dru­gi LKM Ro­ot­ki­to­vi ra­de
sa­mo u slu­ča­ju ka­da je ker­nel kom­paj­li­ran ta­ko da omo­gu­ća­va
uči­ta­va­nje dinamičkih ker­nel mo­du­la. Ako obri­še­te LKM mo­du­le
ta­kvog Ro­ot­ki­ta, vaš pro­blem je re­šen, na­rav­no, ako ste uop­šte
us­pe­li da ga de­tek­tu­je­te.

Ako ste po­mi­sli­li da
sta­tič­kim lin­ko­va­njem ker­ne­la one­mo­gu­ći­te LKM
Ro­ot­ki­to­ve, tre­ba da zna­te da po­sto­je još na­pred­ni­je
teh­ni­ke ko­je ne ko­ri­ste LKM, već di­rek­tan upis u RAM me­mo­ri­ju
(Li­nux /dev/kmem). U ovom slu­ča­ju ad­mi­ni­stra­tor ne mo­že da
ura­di sko­ro ni­šta, jer je upis u /dev/kmem sa­stav­ni deo ker­ne­la.

Za­šti­ta
Po­la­zna stra­te­gi­ja za­šti­te je da pro­na­đe­te
ne­a­u­to­ri­zo­va­ne iz­me­ne pro­gra­ma pu­tem upo­re­đi­va­nja
ši­fro­va­nih kon­trol­nih zbi­ro­va ključ­nih da­to­te­ka. Po­treb­no
je da pe­ri­o­dič­no upo­re­đu­je­te sta­re i no­ve kon­trol­ne
zbi­ro­ve da bi­ste uvi­de­li pro­me­ne. Ovo oba­vlja­ju pro­gra­mi kao
što je Trip­wi­re. (Na­po­mi­nje­mo da u slu­ča­ju LKM Ro­ot­ki­to­va
Trip­wi­re ne slu­ži ni­če­mu.)

Al­ter­na­ti­va su pro­gra­mi
ti­pa Check-ps, ko­ji ne ve­ru­ju si­stem­skim
po­zi­vi­ma, već di­rekt­no is­pi­tu­ju ker­nel me­mo­ri­ju i
pri­ka­zu­ju raz­li­ke u od­no­su na mo­žda-kom­pro­mi­to­va­ne
si­stem­ske ko­man­de.

Ako mi­sli­te da ima­te Ro­ot­kit
pro­blem, pr­va stvar ko­ju tre­ba da ura­di­te je da upo­re­di­te
od­ziv ko­man­de “net­stat –anlt” u od­no­su na “nmap
127.0.0.1 –p 1-65535”. Ako pri­me­ti­te raz­li­ku u bro­ju
otvo­re­nih por­to­va – ve­ro­vat­no je da ima­te skri­ve­ni Bac­kdo­or u
si­ste­mu. (Su­šti­na ove ana­li­ze je sle­de­ća: net­stat, pri­kaz
mre­žnih ser­vi­sa mo­že bi­ti kompromitovan, za raz­li­ku od nmap
pro­gra­ma, ko­ji ni­je sa­stav­ni deo ope­ra­tiv­nog si­ste­ma.)

U
tom slu­ča­ju tre­ba­lo bi da bo­o­tu­je­te si­stem sa CD-a i
lo­ci­ra­te iz­me­nje­ne da­to­te­ke.
Pre­ven­ci­ja
Ja­sno je da je naj­bo­lje za sve - da ne­ma­te in­sta­li­ra­ni
Ro­ot­kit. Da bi­ste to po­sti­gli, za po­če­tak tre­ba da spre­či­te da
vaš si­stem po­sta­ne žr­tva “slu­čaj­nog” ha­ker­skog na­pa­da, što
po­sti­že­te ta­ko što re­dov­no odr­ža­va­te svoj si­stem po pi­ta­nju
si­stem­skih za­kr­pa i up­gra­de­o­va. Ne či­ne­ći ni­šta po ovom
pi­ta­nju dra­ma­tič­no po­ve­ća­va­te šan­se da vaš si­stem do­bi­je
“pod­sta­na­ra”.

Po­treb­no je i da uga­si­te sve ne­po­treb­ne
si­stem­ske pro­ce­se i de­mo­ne i in­sta­li­ra­te Fi­re­wall, a za
ra­ne de­tek­ci­je do­bro do­đe pre­u­sme­ra­va­nje Syslo­ga na
po­se­ban ra­ču­nar (Log­host).

Po pi­ta­nju pre­ven­ci­je,
po­treb­no je da raz­mo­tri­te i upo­tre­bu NIDS si­ste­ma (Net­work
In­tru­sion De­tec­tion System – mre­žni si­ste­mi za de­tek­ci­ju
upa­da), kao što je snort, ko­ji osim što vas oba­ve­šta­va o na­pa­du
mo­že i da efek­tiv­no blo­ki­ra na­pad.

Bu­duć­nost
Ni­ko ne zna ka­ko će se tač­no Ro­ot­ki­to­vi da­lje raz­vi­ja­ti.
Mo­že­mo da pret­po­sta­vi­mo da će se LKM zo­na raz­vi­ja­ti ta­ko da
ma­ni­pu­li­še i dru­gim de­lo­vi­ma ker­ne­la, ta­ko da spre­če
ot­kri­va­nje od stra­ne pro­gra­ma ti­pa Check-ps.

Iako se
da­nas naj­vi­še Ro­ot­ki­to­va pra­vi za Li­nux ser­ve­re, či­nje­ni­ca
je da sve vi­še ser­ve­ra na In­ter­ne­tu ko­ri­ste Win­dows, te je za
oče­ki­va­nje i po­ja­va po­bolj­ša­nih Ro­ot­ki­to­va za ove
ope­ra­tiv­ne si­ste­me.

eo sve o rootkit virusima , da se zna zasto i kako

Probaj da pises u liniji.. Ovo je sve razbacano kao i sve novosti koje pocnes. Moras pisati lepo i pregledno.

Oke , hvala na savetu...odsad cu da pisem ko sastav,mislio sam da ce ovako biti razumljivije xD